淺談報業(yè)數(shù)據(jù)中心虛擬化的注意事項

袁龍超

摘要：通過虛擬化技術(shù)構(gòu)建報業(yè)集團(tuán)信息技術(shù)服務(wù)平臺，使各信息系統(tǒng)統(tǒng)一部署和運行，做到系統(tǒng)間相互獨立、共享硬件資源，靈活、動態(tài)地滿足業(yè)務(wù)發(fā)展的需要。本文對此平臺構(gòu)建和遷移過程中遇到的幾個關(guān)鍵性問題進(jìn)行分析并提出相應(yīng)對策。

Abstract： The information technology service platform of the newspaper group is constructed through virtualization technology， so that all information systems can be deployed and operated in a unified manner， the systems are independent and can share hardware resources， and meet the needs of business development flexibly and dynamically. This paper analyzes several key problems encountered in the process of platform construction and migration and proposes corresponding countermeasures.

關(guān)鍵詞：數(shù)據(jù)中心;服務(wù)器虛擬化與遷移;存儲虛擬化;網(wǎng)絡(luò)安全與管理

Key words： data center;server virtualization and migration;storage virtualization;network security and management

中圖分類號：TP309.2? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1006-4311（2018）36-0271-02

0? 引言

隨著媒體融合的深度發(fā)展，信息系統(tǒng)規(guī)模化經(jīng)營勢在必行;尤其隨著集團(tuán)業(yè)務(wù)的高速發(fā)展，數(shù)據(jù)中心對各類業(yè)務(wù)系統(tǒng)的重要性愈加明顯，如OA、財務(wù)、廣告、新聞采編和ERP等系統(tǒng)。過去各項業(yè)務(wù)系統(tǒng)經(jīng)過不斷地更新?lián)Q代，每個系統(tǒng)都一個獨有的物理服務(wù)器，然而由于傳統(tǒng)數(shù)據(jù)中心建設(shè)模式是縱向結(jié)構(gòu)，服務(wù)器之間無法復(fù)用各類資源，只能通過堆加服務(wù)器來滿足業(yè)務(wù)要求，如此一來，由于服務(wù)器資源過多導(dǎo)致的問題越來越多，包括硬件利用率低下、運行成本高、管理復(fù)雜等，久而久之，數(shù)據(jù)中心便無法在節(jié)約成本和快速響應(yīng)兩者之間掌握平衡。

采用虛擬化技術(shù)的數(shù)據(jù)中心能根據(jù)不同業(yè)務(wù)的資源消耗，自動分配硬件資源，最大限度滿足集團(tuán)數(shù)據(jù)中心的高效率、高性價比和自動化管理等要求。前提是審慎規(guī)劃虛擬化遷移方案，以避免引起服務(wù)中斷或數(shù)據(jù)丟失等各種復(fù)雜情況，否則將對集團(tuán)的各項業(yè)務(wù)造成不利影響。所以在設(shè)計虛擬化規(guī)劃和遷移方案時認(rèn)真考慮下列建議，確保遷移項目平穩(wěn)順利地進(jìn)行。

1? 穩(wěn)妥無縫的遷移舊系統(tǒng)

對于報業(yè)廣告、發(fā)行、財務(wù)等系統(tǒng)已使用了8-9年，雖功能目前基本滿足現(xiàn)實需求。但面臨著兩個難題：①系統(tǒng)安裝程序和文檔因時間太久資料不全;②服務(wù)器硬件因連續(xù)運行多年面臨著隨時掛機(jī)的可能。如何用虛擬化遷移這些系統(tǒng)呢？

p2v能把現(xiàn)有運行在物理服務(wù)器上的業(yè)務(wù)系統(tǒng)在線遷移到虛擬化平臺上，遷移的內(nèi)容包括操作系統(tǒng)、系統(tǒng)配置及驅(qū)動、業(yè)務(wù)應(yīng)用及數(shù)據(jù)庫等全部的物理服務(wù)器的信息，自動與現(xiàn)有的服務(wù)器進(jìn)行數(shù)據(jù)同步。在實際遷移中，為提高遷移的成功率，建議：①在遷移之前斷開網(wǎng)絡(luò)，用直通網(wǎng)線將要遷移的“源”服務(wù)器與“中間服務(wù)器”連接在一起。②暫停“源”服務(wù)器的SQL Server服務(wù)、殺毒軟件，暫時關(guān)閉“源”與“中間服務(wù)器”的防火墻。③使用chkdsk命令，檢查“源”服務(wù)器每個分區(qū)是否錯誤，并進(jìn)行修復(fù)。④移除“源”服務(wù)器上有一些與關(guān)鍵服務(wù)無關(guān)的數(shù)據(jù)，如安裝程序、鏡像等。⑤在轉(zhuǎn)換虛擬機(jī)后，需要對其進(jìn)行配置后優(yōu)化，并在目標(biāo)虛擬環(huán)境啟動。⑥把源服務(wù)器下線，將虛擬后服務(wù)器的機(jī)器名、IP地址、MAC地址修改成源服務(wù)器的網(wǎng)絡(luò)參數(shù)并重啟服務(wù)器。⑦驗證虛擬化的服務(wù)器各項服務(wù)是否正常。

2? 整體統(tǒng)一規(guī)劃存儲方案及規(guī)范存儲名稱

存儲是各種虛擬化應(yīng)用環(huán)境的關(guān)鍵元素，所以存儲設(shè)計一直都很重要，隨著虛擬化應(yīng)用規(guī)模與重要性的不斷提高，如需要支持更大工作負(fù)載、支持關(guān)鍵應(yīng)用、創(chuàng)建更大型集群時它的作用變得越來越重要，這主要體現(xiàn)一下幾個方面。虛擬化的很多高級特性都依賴于共享存儲，如HA、DRS、FT等都必須依賴于共享存儲。如果說服務(wù)器層面的設(shè)計決策可能影響虛擬化的質(zhì)量，而網(wǎng)絡(luò)與存儲的設(shè)計決策決定著整套虛擬化的成敗。只有做出合理選擇，才能創(chuàng)建一個高效的共享存儲設(shè)計，既能降低虛擬化環(huán)境的建設(shè)成本，又能提高效率、性能、可用性和靈活性。

在管理虛擬化數(shù)據(jù)中心時，為了后期的管理與使用方便，建議對數(shù)據(jù)中心的存儲進(jìn)行統(tǒng)一規(guī)范。命名的方式有多種，可以根據(jù)管理員習(xí)慣的統(tǒng)一規(guī)劃進(jìn)行命名，還要將本地存儲和共享儲分開命名。

3? 合理規(guī)劃虛擬機(jī)，防止泛濫

及時關(guān)閉注銷不需要的測試機(jī);虛擬化技術(shù)的出現(xiàn)有效降低了部署服務(wù)器的成本技術(shù)門檻，過去需要多個步驟的操作才可完成，現(xiàn)在只需點擊幾下鼠標(biāo)即可。然而同時其也面臨一些挑戰(zhàn)，比如需要創(chuàng)建更多的虛擬機(jī)，且這些虛擬機(jī)雖非必要卻需要管理，每在一個虛擬機(jī)在進(jìn)行過一項應(yīng)用測試，都必須嚴(yán)格依照相關(guān)規(guī)范標(biāo)準(zhǔn)操作，否則一旦忘記撤銷等，將會面臨系統(tǒng)出現(xiàn)網(wǎng)絡(luò)漏洞的問題，如此勢必會增加其面臨的安全風(fēng)險。且某臺虛擬機(jī)出現(xiàn)問題后，還可能會影響到其它的虛擬機(jī)，進(jìn)而對整個網(wǎng)絡(luò)環(huán)境安全造成嚴(yán)重威脅。因此需要通過制定嚴(yán)格的分級管理平臺，角色定義。管理員可以擁有所有資源控制能力，將虛擬機(jī)的創(chuàng)建進(jìn)行分級化管理，這樣可以有效避免范圍內(nèi)出現(xiàn)的不安全性向其他區(qū)域擴(kuò)散。同時需要制定報業(yè)集團(tuán)服務(wù)器管理制度，禁止隨意創(chuàng)建模板或新虛擬機(jī)等操作;明確各個虛擬主機(jī)的責(zé)任人和巡檢制度。

4? 針對虛擬化平臺建立立體的網(wǎng)絡(luò)安全防護(hù)措施

傳統(tǒng)的一些安全風(fēng)險并沒有因為虛擬化的應(yīng)用而降低，而服務(wù)器虛擬化的產(chǎn)生，帶來了新的網(wǎng)絡(luò)環(huán)境：一臺物理服務(wù)器之上構(gòu)建了多臺虛擬機(jī)。新產(chǎn)生的網(wǎng)絡(luò)環(huán)境及新產(chǎn)生的虛擬機(jī)不受原安全防護(hù)系統(tǒng)的保護(hù)。服務(wù)器虛擬化的出現(xiàn)，需要進(jìn)一步擴(kuò)大了安全防護(hù)的范圍。

制度層面：①加強(qiáng)員工網(wǎng)絡(luò)安全培訓(xùn)，包括法律、集團(tuán)網(wǎng)絡(luò)安全規(guī)則制度、網(wǎng)絡(luò)安全基本知識、新技能等，提高員工網(wǎng)絡(luò)安全的警惕性和自覺性;②加強(qiáng)數(shù)據(jù)中心安全管理，嚴(yán)格執(zhí)行集團(tuán)信息安全防護(hù)制度;③定期開展虛擬化平臺系統(tǒng)安全加固，保證系統(tǒng)的安全性。技術(shù)層面：①針對虛擬化管理平臺組建專用物理管理網(wǎng)絡(luò)，且僅允許從專用網(wǎng)絡(luò)訪問虛擬化數(shù)據(jù)管理中心;②確保虛擬化主機(jī)Shell 和SSH處于禁用狀態(tài);對主機(jī)進(jìn)行管理訪問時無需使用的所有端口均處于關(guān)閉狀態(tài);③啟用虛擬機(jī)加密功能，加密不僅能保護(hù)虛擬機(jī)，而且還能保護(hù)虛擬機(jī)磁盤和其他文件;④在部署虛擬機(jī)時要按照基線模板以及安全漏洞掃描模板定期對虛擬機(jī)進(jìn)行掃描;⑤進(jìn)一步保證虛擬機(jī)安全，主要包括：虛擬機(jī)常規(guī)保護(hù)、使用模板來部署虛擬機(jī)、盡量少部署虛擬機(jī)控制臺、防止虛擬機(jī)取代資源。

虛擬化平臺安全性是一個系統(tǒng)性工程，要通過管理和技術(shù)雙管齊下才能保證虛擬化平臺安全。借用美國國家標(biāo)準(zhǔn)與技術(shù)研究組織的一句話，“一個有安全威脅的虛擬機(jī)往往會影響整個虛擬化架構(gòu)”。

5? 做好虛擬化平臺的防病毒措施

針對虛擬化系統(tǒng)，傳統(tǒng)方案是把防病毒軟件安裝在虛擬機(jī)上來保護(hù)虛擬化平臺的安全。但這樣的方案并不適用于虛擬化新型平臺，原因如下：①“防病毒風(fēng)暴”問題。直接部署在操作系統(tǒng)上的殺毒軟件在執(zhí)行文件反病毒掃描時，計算機(jī)的內(nèi)存和CPU消耗都會升高不少，如果大量虛擬機(jī)同時執(zhí)行文件反病毒掃描任務(wù)，會導(dǎo)致資源競爭。②存在“防護(hù)間隙”問題。虛擬機(jī)一旦關(guān)機(jī)或暫停，傳統(tǒng)的防病毒軟件不再起任何作用，病毒庫更新延遲，當(dāng)虛擬機(jī)開始加載到啟動后防病毒軟件啟動這一段時間，虛擬機(jī)實際上處在一個無保護(hù)的狀態(tài)，存在保護(hù)間斷的問題。③管理效率低。傳統(tǒng)模式下要為每一臺虛擬機(jī)上安裝反病毒程序和病毒庫，也會占用大量的磁盤空間，降低了虛擬化的密度，同時在管理上也不方便。

目前針對虛擬化平臺的防病毒主要有無代理或輕代理的反病毒技術(shù)。無代理反病毒就是直接在虛擬化管理平臺中部署vshield后，即可在ESXI主機(jī)中開啟endpoint反病毒插件，無需為每個虛擬機(jī)安裝殺毒客戶端。虛擬化的無代理反病毒的優(yōu)勢很明顯：①解決了防病毒風(fēng)暴問題，當(dāng)大批量虛擬機(jī)需要防病毒掃描時，主要掃描負(fù)載壓力集中在SVM虛擬機(jī)上，顯著降低各虛擬機(jī)的資源負(fù)擔(dān);②無代理反病毒運維方式更為簡單，無需在每個虛擬機(jī)上安裝客戶端程序。SVM上提供集中式的病毒庫引擎，供所有虛擬機(jī)使用;③支持虛擬機(jī)vmotion技術(shù)，虛擬機(jī)發(fā)生漂移，保護(hù)也隨之跟進(jìn)。

6? 定期對存儲行進(jìn)行空間手動回收

在虛擬化平臺上，應(yīng)用中大多數(shù)采用精簡置備的模式進(jìn)行分配空間，這種方式只使用該磁盤最初所需要的存儲空間。如果以后需要更多空間，則它可以增長到為其分配的最大容量。如：在創(chuàng)建windows2008虛機(jī)的時候，指定的是80G的空間，但是由于使用了thin的方式，可能實際上只分配了20GB的空間。但后來隨著windows2008文件越來越多，雖然我們再刪了10GB的空間，以為在ESXi存儲上這10GB空間被釋放了，其實不是的，這10GB空間還是真正劃分給了windows2008虛機(jī)。所以，我們會發(fā)現(xiàn)雖然在創(chuàng)建虛機(jī)的時候使用thin的方式，但到后來后端存儲空間還是消耗的很快。頻繁將虛擬機(jī)在存儲上來回遷移也會造成類似的結(jié)果。

vSphere 5.5 &6.0及之前的版本雖然具有空間回收操作，但還是手動回收。vSphere 6.5開始引入了新的文件系統(tǒng)VMFS6，支持自動unmap。對于vSphere6.0以前的版本，我們可以通過定期手動執(zhí)行空間回收命令了。通過VC控制中心打開ESXI主機(jī)的SSH功能，用超級終端登錄ESXI主機(jī)，運行 esxcli storage vmfs unmap-l 卷名g 啟動存儲的手動空間回收功能。

報業(yè)數(shù)據(jù)中心通過服務(wù)器、存儲、網(wǎng)絡(luò)整體虛擬化將各種信息資源進(jìn)行整合和優(yōu)化，實現(xiàn)近乎零宕機(jī)的硬件維護(hù)，減少數(shù)據(jù)安全隱患，確保系統(tǒng)的高可用性和硬件的高擴(kuò)展性，提高運維效率。但同時也帶來了新的信息安全威脅。只有認(rèn)真分析虛擬化平臺帶來的安全威脅，針對新的安全威脅進(jìn)行安全防護(hù)，才能保證我們整個虛擬化環(huán)境的安全。本文梳理了數(shù)據(jù)中心虛擬化的注意事項，分析了虛擬化平臺帶來的新的安全威脅，通過管理和技術(shù)結(jié)合，科學(xué)的解決了虛擬化平臺帶來的安全隱患，保障了整個虛擬化平臺部署遷移和安全性。

參考文獻(xiàn)：

[1]林龍.虛擬化平臺的安全風(fēng)險及其防范策略[J].信息通信，2018-4.

[2]宮月，李超，吳薇.虛擬化安全技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2016-9.

[3]汪來富，金華敏，沈軍.虛擬化安全防護(hù)關(guān)鍵技術(shù)研究[J].電信科學(xué)，2014-12.

[4]梁平.高校圖書館服務(wù)器虛擬化建設(shè)中需要注意的若干細(xì)節(jié)[J].工程技術(shù)，2012-10.

[5]陳鵬.虛擬化數(shù)據(jù)中心安全問題分析[J].通訊世界，2018-3.